2023年7月13日发(作者：)

1. 确定分析对象

通过对工控网络的分析确定我们测试对象。工业控制系统（ICS）是几种类型控制系统的总称，包括监控和数据采集（SCADA）系统、分布式控制系统（DCS）和其它控制系统。对系统的核心控制元件和网络组件进行查验。

2. 分析过程和方法

2.1 主机检测

对处于关键节点的计算机进行检测

2.1.1 上位机

上位机是一台计算机，我们可以用以下几种方法来分析

扫描端口：查看是否开放可疑端口

查看系统配置：查看系统的账户，是否存在隐藏账户，安全策略是否被改动

查找可疑进程和文件：使用杀毒软件对系统进行全盘扫描，查找是否存在后门木马以及病毒

方法

扫描端口

查看系统配置

目的

查看是否开放可疑端口

查看系统的账户，是否存在隐藏账户，安全策略是否被改动

使用杀毒软件对系统进行全盘扫描，查找是否存在后门木马以及病毒

目的

查看是否开放可疑端口

查看系统的账户，是否存在隐藏账户，安全策略是否被改动

使用杀毒软件对系统进行全盘扫描，查找是否存在后门木马以及病毒

使用专用的webshell查杀工具扫描，用来发现黑客留下的web后门

工具

Nmap或者直接cmd运行命令netstat -an

直接在系统上查看

查找可疑进程和文件 杀毒软件如mcafee，小红伞

2.1.2

方法

应用服务器

工具

Nmap或者直接cmd运行命令netstat -an

直接在系统上查看

扫描端口

查看系统配置

查找可疑进程和文件 杀毒软件如mcafee，小红伞

Webshell查杀 D盾、360等

2.2 网络检测

网络监测：可以使用行为管控硬件进行监控，发现可以用户行为

流量监测：使用入侵检测系统进行监控

网络边界：在网络边界查找薄弱环节，查看边界完整性，是否存在不合理配置

方法

网络监控

流量监控

网络边界完整性检查

目的

可以使用行为管控硬件进行监控，发现可以用户行为

在网络边界查找薄弱环节，工具

上网行为管理

使用入侵检测系统进行监控 如IDS

手工查看 查看边界完整性，是否存在不合理配置

网络安全分析：

①病毒木马分析

②暴力破解分析

③垃圾邮件分析

④web服务器攻击分析

⑤ARP欺骗分析

方法

收集网络流量

网络协议分析

目的

收集流量以便于分析

使用相应的工具对收集到的流量包进行分析处理，找出流量较大、发包次数较大的节点ip

对流量较大的节点ip进行进一步的分析，找出对应的进程和端口

工具

专用的流量收集设备

Wireshark、专业的分析工具

找出异常流量并对其分析

2.3 漏洞

漏洞类型：

①应用系统漏洞

②Windows系统漏洞

③Linux系统漏洞

④路由器及其他硬件设备漏洞

方法

应用系统漏洞

操作系统漏洞

路由器及其他硬件设备漏洞

2.4 日志分析

收集对象及工具：

①应用系统日志：可以使用

②数据库：

③应用服务器日志：

④路由器：

⑤防火墙：

⑥访问控制日志：

方法

收集需要分析的日志

目的

将所有需要分析的日志进行收集，如数据库日志、应用日志、应用系统日志、操作工具

人工收集、审计系统收集

目的

找出系统薄弱容易被利用的环节

找出系统薄弱容易被利用的环节

找出系统薄弱容易被利用的环节

工具

手工测试辅以工具

手工测试辅以工具

手工测试辅以工具 系统日志、路由器、防火墙等硬件设备日志

对日志进行分析 对所有收集到的日志进行初步分析，将疑似攻击痕迹进行记录

根据日志分析的初步结果，上机进行行为判断，推测入侵过程

日志分析工具如360星图、人工编写匹配规则

人工测试 上机检查

2.5 渗透测试

方法

工具扫描

手工测试

社会工程学

目的

用工具找出常见的、易发现的漏洞

利用经验和不同的思路来找出系统不容易发现的威胁

利用平时收集的数据库找出目标用户的信息，从而获取进入系统的钥匙

对发现漏洞的系统，用已经有利用的工具进行攻击

利用权限提升的工具获取系统最高权限

测试项 测试子项

专业工具扫描

Web服务器端口扫描

危险HTTP方法测试

工具

常见的扫描工具wvs、appscan、Nessus等等

手工测试

漏洞攻击

权限提升

Sqlmap、metasploit等

自动化扫描测试

信息收集

Web中间件版本

脚本语言

中间件安全漏洞

中间件安全 中间件管理后台

目录浏览

程序遍历目录

任意文件修改

文件目录测试

文件上传

文件下载 测试项 测试子项

文件包含

SQL注入测试

注入测试

命令执行测试

反射型跨站脚本

跨站脚本

存储型跨站脚本

横向测试

权限管理测试

纵向测试

口令测试

编辑器测试

弱口令/默认口令

编辑器漏洞测试

测试、备份页面代码

备份压缩文件

Robots接口信息泄露

信息泄漏测试

异常处理信息泄露

管理后台是否可猜测

其他方式

开源代码检测

逻辑测试

程序设计漏洞

百度检测

入侵挂马检测 Google检测

安全联盟

旁路测试 旁路测试

漏洞危害性测试（通过对漏洞验证之后是否可以对内漏洞危害性测试

网以及其他服务进行渗透测试）

用户登录认证绕过

其他漏洞

重放攻击

开源代码漏洞检查

业务/程序逻辑测试